引言

在渗透测试中很容易遇到发送短信验证码的接口，一般来说会尝试测试是否能够进行短信轰炸，即多次并发请求接口对某个手机号进行多次发送验证码。

除了对请求进行并发之外，还有一种情况也可以进行并发短信验证码，就是对接收手机号的参数进行参数注入，该漏洞并不一定出现，但是测试的时候可以留意一下。

正文

以任意一个验证码发送的前端为例，输入相关信息后点击发送验证码后抓包。

对用于接收手机号的参数进行修改，比如正常情况下是：mobile=15600002285，将其修改为：mobile=手机号1，手机号2，手机号3后进行发包。

如果后端缺少严格校验，被注入多个值，形成业务逻辑绕过，那么该漏洞就会造成：同时给传入的手机号发送验证码。

结论

在短信验证码的安全测试中，传统思路多集中于并发请求同一手机号以触发短信轰炸风险，但在实际渗透过程中还应关注更隐蔽的逻辑缺陷——参数注入导致的批量发送漏洞。

通过对接收手机号的字段进行参数注入（如 mobile=号码1,号码2,号码3），如果后端在处理该参数时缺乏严格的格式校验或未限制参数只能为单一手机号，就可能错误地将多个手机号一并识别并执行发送逻辑。这样就造成了一次请求触发多条短信验证码发送，从而形成另一种形式的短信轰炸。

此类漏洞并不常见，但危害较大，且容易被忽略。建议在对验证码功能测试时，除了常规的并发测试外，也要尝试参数注入的方式，以便及时发现并处理潜在的业务逻辑缺陷。